Куда я попал?
Вы попали в сервис, который помогает корпоративным службам безопасности строить свои рабочие процессы: управление рисками, контроль соответствия требованиям, учет активов, планирование и сопровождение защитных мер на всем их жизненном цикле, распределение задач и т.д.
Еще SECURITM является платформой для обмена опытом и наработками между участниками сообщества служб безопасности.
Подробнее
 

Описание угрозы

Чтобы избежать обнаружения во время компрометации инфраструктуры злоумышленники могут попытаться обойти действующие системы защиты. Системы защиты можно обойти через удаление / отключение программного обеспечения безопасности, обфускацию / шифрование данных и сценариев. Злоумышленники также могут использовать надежные процессы, чтобы скрыть и замаскировать свои вредоносные программы.

Описание уязвимости

ОС Windows использует общий метод поиска необходимых библиотек DLL для загрузки в программу. Захват DLL-файлов может осуществляться с целью закрепления в инфраструктуре, а также повышения привилегий и/или уклонения от ограничений на выполнение файлов.
Злоумышленник может разместить файлы вредоносной DLL заранее до легитимной библиотеки или заменить существующую библиотеку DLL, чтобы заставить программу загрузить вредоносную библиотеку DLL.
Если уязвимая для поиска программа настроена для запуска на более высоком уровне привилегий, то загружаемая библиотека DLL, контролируемая злоумышленником, также будет выполняться на более высоком уровне. В этом случае метод может быть использован для повышения привилегий.
Программы, которые становятся жертвами захвата пути, могут вести себя нормально, потому что вредоносные библиотеки DLL могут быть настроены также для загрузки легальных библиотек DLL, которые они должны были заменить.

Описание типа актива

Microsoft Windows любых версий
Классификация
КЦД: Целостность ? Целостность / integrityCвойство сохранения правильности и полноты активов.
STRIDE: Повышение привилегий ? Повышение привилегий / Elevation of privilegeПредоставление пользователю прав и полномочий больших чем ему предназначено. В том числе в результате нарушений дей...
Источники угрозы
Внешний нарушитель - Средний потенциал ? Внешний нарушительНаходящийся вне информационной системы на момент начала реализации угрозы. Для реализации угроз в информационной системе внешний нарушитель д...
Внутрений нарушитель - Средний потенциал ? Внутрений нарушительПод внутренним нарушителем понимают нарушителя, находящегося внутри информационной системы на момент начала реализации угрозы. К внутренним...